問題一:在《薩班斯法案》的404條款中,對IT部門的法規(guī)有19條,您如何看待這些條款對IT企業(yè)的影響?
  
    崔瑤穎:《薩班斯法案》強(qiáng)調(diào)企業(yè)的信息技術(shù)策略和企業(yè)內(nèi)控活動(不論是人還是機(jī)器)的操作流程都必須進(jìn)行明白的定義并保存相關(guān)記錄,而后才能實(shí)施。 
   
    該法案還規(guī)定,公司首席執(zhí)行官和首席財(cái)務(wù)官必須對財(cái)務(wù)報(bào)告的真實(shí)性宣誓,倘若提供不實(shí)財(cái)務(wù)報(bào)告的,他們有可能將被處以10年或20年監(jiān)禁的重刑。該法規(guī)在確保公司財(cái)務(wù)報(bào)告的可靠性、保護(hù)投資人利益的同時(shí),也讓上市公司為了遵循該條款付出了不菲的代價(jià),包括大量的人力、物力、財(cái)力和時(shí)間的投入。但是,與由于上市公司不能遵從該法案所帶來的巨大損失相比,這些成本投入都是值得的,而且公司通過部署高效的IT系統(tǒng)還能降低總體擁有成本,從而提升其投資回報(bào)率。
  
    郭尊華:薩班斯法案從2002年的時(shí)候,是美國總統(tǒng)布什簽了以后發(fā)生效用,主要源于安然、世界電信公司等美國超大型企業(yè),他們因?yàn)楣芾矸矫娴牟蛔?,?dǎo)致投資者和很多人對美國經(jīng)濟(jì)和美國投資的負(fù)面影響,覺得必須要去加強(qiáng)一些監(jiān)管的能力。在IT控制緊密相關(guān)的SOX條款里,有幾個(gè)條款是跟IT有關(guān)系的:第一,就是302條款。第二是404條款。第三是409行款。第四是802條款。SOX包含的不光有IT,還包括人、流程和技術(shù),薩班斯法案不光包括財(cái)務(wù)是公司每一個(gè)人都要遵從的法規(guī)。一個(gè)企業(yè)如果要真的推動薩班斯法案的話,不但CIO、還要有首席財(cái)務(wù)官,法規(guī)顧問以及公司負(fù)責(zé)人等一起協(xié)作推動薩班斯法案。
  
    John Gubernat:受企業(yè)危機(jī)事件和整個(gè)經(jīng)濟(jì)大環(huán)境的影響,法規(guī)遵從和公司管理一直沒有被各組織所重視,如Sarbanes-Oxley法規(guī)已經(jīng)受到大多數(shù)人的關(guān)注。同時(shí)還有成千上萬的國家、地區(qū)以及城鄉(xiāng)的特殊法規(guī)也正管理著成指數(shù)增長的信息的保留、使用、申報(bào)以及最終的處理。但是如何管理這些信息,依然困擾著企業(yè)的首席信息官們。
  
    如果不遵守這些法規(guī),企業(yè)會招致罰款。如果不能迅速存取關(guān)鍵信息還會危及企業(yè)的業(yè)務(wù)。如果不積極地管理這些信息并保留和處理,企業(yè)將遭受更大的法律風(fēng)險(xiǎn)。
  
    金微:法規(guī)遵從中的條款是非常多的,基本上是要求信息不能被篡改。以前的歸檔軟件往往不太考慮這個(gè)問題,現(xiàn)在市場上要求歸檔解決方案能具備:一是防止篡改能力;即使是最高等級的管理員也無法修改歸檔記錄;二是和行業(yè)應(yīng)用的結(jié)合性;三是數(shù)據(jù)訪問或再利用方便性。
  
    莊國光:近年來一系列的財(cái)務(wù)丑聞使所有公司遭受前所未有的監(jiān)察壓力,絕大多數(shù)情況則是因?yàn)槠髽I(yè)高層無法掌握企業(yè)的完整信息而導(dǎo)致公司治理失敗。這就要求信息技術(shù)為公司治理和遵守行政法規(guī)的工作提供幫助,通過實(shí)現(xiàn)流程的簡化和信息的集中化,幫助公司更快地披露信息,并且最大限度地降低發(fā)生錯(cuò)誤的概率,從而減少期末出現(xiàn)意想不到結(jié)果的可能性。比如簡化財(cái)務(wù)報(bào)表的編制過程,由于新近在商業(yè)智能軟件上取得的技術(shù)進(jìn)步,企業(yè)能夠在匯總和明細(xì)這兩類級別上實(shí)時(shí)查看相關(guān)的財(cái)務(wù)數(shù)據(jù)。從而極大地減少了收集財(cái)務(wù)數(shù)據(jù)所耗費(fèi)的時(shí)間,允許將更多的時(shí)間用于對結(jié)果進(jìn)行仔細(xì)的分析和深入的演示上。
  
    問題二:《薩班斯法案》給我們的IT企業(yè)帶來的負(fù)面影響有哪些?我們?nèi)绾螒?yīng)對?
  
    崔瑤穎:由于遵從《薩班斯法案》所需投入的工作量相當(dāng)繁重,涉及到企業(yè)經(jīng)營、IT系統(tǒng)控制、投融資管理、財(cái)務(wù)監(jiān)控、法律法規(guī)監(jiān)督等一系列領(lǐng)域,公司必須投入較多的財(cái)力、人力和物力資源,初始成本之高令很多公司對在美國上市望而卻步。據(jù)悉,某些上市公司由于財(cái)務(wù)報(bào)表制作不夠及時(shí),直接導(dǎo)致其美國上市之路的曲折。
  
    企業(yè)應(yīng)該認(rèn)識到,對其業(yè)務(wù)數(shù)據(jù)的存儲、管理和保護(hù)是遵從法案的基礎(chǔ)和保證。法案對企業(yè)在信息數(shù)據(jù)的保存和保護(hù)方式方面提出了新的挑戰(zhàn):企業(yè)必須要保護(hù)其數(shù)據(jù)不受到意外刪除或?yàn)?zāi)難影響的同時(shí),還要遵守長期保留數(shù)據(jù)的法律法規(guī)要求。對數(shù)據(jù)進(jìn)行有效的歸檔和備份對企業(yè)遵從法案至關(guān)重要:備份用于快速復(fù)制和恢復(fù),以減少故障、人員錯(cuò)誤或?yàn)?zāi)難帶來的影響;歸檔則用于對數(shù)據(jù)進(jìn)行有效的管理、保留和長期的訪問與檢索。企業(yè)通過有效結(jié)合歸檔和備份,能達(dá)到優(yōu)化成本、改進(jìn)存儲基礎(chǔ)設(shè)施的整體效力。
  
    郭尊華:這個(gè)法案的推動,為企業(yè)IT策略遵從企業(yè)治理方案打下良好的開端,也為IT與業(yè)務(wù)的結(jié)合提供了最好的實(shí)踐,同時(shí)也推動了中國的企業(yè)更進(jìn)一步地關(guān)注與業(yè)務(wù)增長的IT技能和流程。
  
    比如說賽門鐵克在中國的公司也要遵從薩班斯法案,一個(gè)中國的企業(yè)在美國上市也要遵從薩班斯法案,為什么薩班斯法案使得中國本土的企業(yè)都覺得有必要探討或者研究,或者在企業(yè)里頭推動薩班斯法案,可能不僅是遵從法規(guī),而是怎么樣加強(qiáng)他們公司內(nèi)部的管理體制,還有其他國家做得好的話,他們也可以學(xué)習(xí)他們做得好的部分。
  
    另外,歐美國家公司和公司之間需要透明而且是可信賴,可以互相合作的,如果企業(yè)在推動薩班斯法案,一些歐美企業(yè)就會說我遵守法規(guī),你們也遵守,我們在互信方面就有一定的基礎(chǔ),所以對中國企業(yè)來說也有一定的好處。
  
    金微:各行各業(yè)都有存儲歸檔的需要,一個(gè)企業(yè)內(nèi)也會有多個(gè)需要。譬如金融業(yè)需要?dú)v史數(shù)據(jù)用于利潤分析、客戶服務(wù)、信用度控制和反洗錢等應(yīng)用。我們可以按照用戶的數(shù)據(jù)的特點(diǎn),分為3類:結(jié)構(gòu)化數(shù)據(jù)(如數(shù)據(jù)庫);半結(jié)構(gòu)化數(shù)據(jù)(如郵件系統(tǒng))和非結(jié)構(gòu)化數(shù)據(jù)(如圖像、錄像)。由于應(yīng)用目的的不同,數(shù)據(jù)保存和使用的策略也不相同,歸檔系統(tǒng)是一個(gè)相當(dāng)客戶化、定制化的系統(tǒng)。
  
    問題三:《薩班斯法案》給我們的IT企業(yè)帶來的機(jī)遇在哪里?我們?nèi)绾伟盐眨?BR>  
    崔瑤穎:自《薩班斯法案》頒布以來,中國企業(yè)在制定新的數(shù)據(jù)存儲解決方案時(shí),就必將有關(guān)該法案的內(nèi)容考慮進(jìn)去;同時(shí),企業(yè)必須建立正確的IT基礎(chǔ)架構(gòu),制定數(shù)據(jù)保持和保護(hù)策略,選擇適當(dāng)?shù)拇鎯夹g(shù)以便高效地遵從法律。雖然《薩班斯法案》會給企業(yè)帶來沉重的負(fù)擔(dān),也打擊了一些欲在美國上市的企業(yè)的積極性,但是,不可否認(rèn)遵從《薩班斯法案》能給企業(yè)帶來長遠(yuǎn)的積極效果,因?yàn)榉桨覆粌H要求上市公司關(guān)注自身的業(yè)績,同時(shí)也敦促公司加強(qiáng)自身內(nèi)部控制、最大限度地提升公司的治理水平,這必將增強(qiáng)公司高管和投資人的投資信心。
  
    郭尊華:推動薩班斯法案,對中國企業(yè)是一個(gè)很好的契機(jī),為什么中國有很多企業(yè)有這個(gè)興趣推動薩班斯法案,是因?yàn)樗麄兿M压ぷ鞯牧鞒?,或者把公司整體環(huán)境或者管理環(huán)境從政務(wù)、風(fēng)險(xiǎn)、道德、法規(guī)遵從方面有一個(gè)全面的提升,而不是只是遵從美國的法規(guī),而是必須提升自己管理方面的水平。
  
    John Gubernat:企業(yè)面臨著規(guī)章、調(diào)查和起訴的難題,因此要求信息系統(tǒng)必須能夠快速提供真實(shí)且具體的數(shù)據(jù)。采用硬件、軟件和服務(wù)等多種技術(shù)的聯(lián)合,幫助企業(yè)建立最好的ILM實(shí)踐,并通過明確的數(shù)據(jù)分類和法規(guī)遵從來定位信息基礎(chǔ)設(shè)施。
  
    為了達(dá)到此目的,企業(yè)必須明確知道他們擁有何種信息,用于何處和存儲于何處,從而能夠簡單地實(shí)現(xiàn)在合適的時(shí)間保存合適的數(shù)據(jù)。這種策略可以更好的處理數(shù)據(jù),使得CIO們能夠按照他們的需要提供精確的數(shù)據(jù)。這對于要求處理大量信息的公司而言是非常關(guān)鍵的。
  
    信息價(jià)值的不同使得IT管理者們必須創(chuàng)造一種分層存儲基礎(chǔ)設(shè)施,使信息的價(jià)值與相應(yīng)存儲設(shè)備的數(shù)據(jù)管理價(jià)值相匹配。作為ILM策略的基礎(chǔ),分層存儲允許公司把最新的、重要的和經(jīng)常被訪問的信息存儲在頂層–高性能的存儲。所以它是一種快速接入方式。隨著時(shí)間推移,當(dāng)這些信息變得次要了,被訪問的不太頻繁了,它就被移到花費(fèi)較少的中層存儲,這就釋放了更多的昂貴的高端資源。對于公司管理和管理法規(guī)遵從,固定內(nèi)容尋址存儲系統(tǒng)分層是首選,因?yàn)樗苷嬲鏅n和快速檢索。
  
    莊國光:如果把整個(gè)企業(yè)治理系統(tǒng)看作一座金字塔,那么,體現(xiàn)可見性、控制力和高效率的商務(wù)系統(tǒng)就是整個(gè)金字塔的塔頂。若想真正依照賽班斯方案實(shí)現(xiàn)企業(yè)治理的目標(biāo),離不開塔身和牢固的塔基,在企業(yè)治理系統(tǒng)這座金字塔中,公司治理系統(tǒng)的可見性、控制力以及高效率,必須以完全的自動化和完整的信息流為支撐,否則,不完整的信息流會使高層決策者因難以看到商務(wù)系統(tǒng)運(yùn)行的“廬山真面目”,而得出錯(cuò)誤的判斷和決策;而手工作業(yè)處理信息的方式在信息時(shí)代則更加難以想象。正是公司治理系統(tǒng)對完整的信息和完全的自動化的要求,IT在新的世紀(jì)有了它新的使命:即作為企業(yè)治理系統(tǒng)的塔基,來形成完整的信息流和實(shí)現(xiàn)信息處理的完全自動化,從而改善治理系統(tǒng)的運(yùn)行,實(shí)現(xiàn)企業(yè)治理的透明化、可控性和高效率。

分享到

多易

相關(guān)推薦